Microsoft Intune 网络终结点

此页列出了 Intune 部署中代理设置所需的 IP 地址和端口设置。

作为仅限云的服务,Intune 不需要诸如服务器或网关的本地基础结构。

受管理设备的访问权限

若要管理防火墙和代理服务器后面的设备,必须启用 Intune 的通信。

备注

本部分中的信息也适用于 Microsoft Intune 证书连接器。 连接器的网络要求与托管设备相同。

  • 因为 Intune 客户端使用 HTTP (80)HTTPS (443),因此代理服务器必须同时支持这两种协议。Windows 信息保护使用端口 444。
  • 对于某些任务(例如下载经典电脑代理的软件更新),Intune 需要对 manage.microsoft.com 的未经身份验证的代理服务器访问权限

备注

不支持对“manage.microsoft.com”终结点进行 SSL 流量检查。

可以修改单个客户端计算机上的代理服务器设置。 还可以使用“组策略”设置来更改位于指定代理服务器后面的所有客户端计算机的设置。

托管的设备需要允许 “所有用户” 通过防火墙访问服务的配置。

下表列出了 Intune 客户端访问的端口和服务:

IP 地址
login.microsoftonline.com
*.officeconfig.msocdn.com
config.office.com
graph.windows.net
enterpriseregistration.windows.net
详细信息 Office 365 URL 和 IP 地址范围
*.manage.microsoft.com
manage.microsoft.com
104.214.164.192/27
104.46.162.96/27
13.67.13.176/28
13.67.15.128/27
13.69.231.128/28
13.69.67.224/28
13.70.78.128/28
13.70.79.128/27
13.71.199.64/28
13.73.244.48/28
13.74.111.192/27
13.75.39.208/28
13.77.53.176/28
13.86.221.176/28
13.89.174.240/28
13.89.175.192/28
20.189.105.0/24
20.189.172.160/27
20.189.229.0/25
20.191.167.0/25
20.37.153.0/24
20.37.192.128/25
20.38.81.0/24
20.41.1.0/24
20.42.1.0/24
20.42.130.0/24
20.42.224.128/25
20.43.129.0/24
20.44.19.224/27
20.49.93.160/27
40.119.8.128/25
40.67.121.224/27
40.70.151.32/28
40.71.14.96/28
40.74.25.0/24
40.78.245.240/28
40.78.247.128/27
40.79.197.64/27
40.79.197.96/28
40.80.180.208/28
40.80.180.224/27
40.80.184.128/25
40.82.248.224/28
40.82.249.128/25
52.150.137.0/25
52.162.111.96/28
52.168.116.128/27
52.182.141.192/27
52.236.189.96/27
52.240.244.160/27

PowerShell 脚本和 Win32 应用的网络要求

如果使用 Intune 部署 PowerShell 脚本或 Win32 应用,还需要授予对租户当前所在的终结点的访问权限。

若要查找租户位置(或 Azure 缩放单位 (ASU)),请登录 Microsoft Endpoint Manager 管理中心,选择“租户管理” > “租户详细信息”。 该位置位于“租户位置”下,例如“北美 0501”或“欧洲 0202”。 在下表中查找匹配的数字。 该行会告诉你要向其授予访问权限的存储名称和 CDN 终结点。 行由地理区域进行区分,如名称中的前两个字母(na = 北美,eu = 欧洲,ap = 亚太)所示。 尽管你的组织的实际地理位置可能在其他地方,但租户位置将是这三个区域之一。

Azure 缩放单元 (ASU) 存储名称 CDN
AMSUA0601
AMSUA0602
AMSUA0101
AMSUA0102
AMSUA0201
AMSUA0202
AMSUA0401
AMSUA0402
AMSUA0501
AMSUA0502
AMSUA0701
AMSUA0702
AMSUA0801
AMSUA0901
naprodimedatapri
naprodimedatasec
naprodimedatahotfix
naprodimedatapri.azureedge.net
naprodimedatasec.azureedge.net
naprodimedatahotfix.azureedge.net
AMSUB0101
AMSUB0102
AMSUB0201
AMSUB0202
AMSUB0301
AMSUB0302
AMSUB0501
AMSUB0502
AMSUB0601
AMSUB0701
euprodimedatapri
euprodimedatasec
euprodimedatahotfix
euprodimedatapri.azureedge.net
euprodimedatasec.azureedge.net
euprodimedatahotfix.azureedge.net
AMSUC0101
AMSUC0201
AMSUC0301
AMSUC0501
AMSUD0101
approdimedatapri
approdimedatasec
approdimedatahotifx
approdimedatapri.azureedge.net
approdimedatasec.azureedge.net
approdimedatahotfix.azureedge.net

Windows 推送通知服务 (WNS)

对于使用移动设备管理 (MDM) 管理的由 Intune 管理的 Windows 设备,设备操作和其他即时活动需要使用 Windows 推送通知服务 (WNS)。 有关详细信息,请参阅允许 Windows 通知流量通过企业防火墙

传递优化端口要求

端口要求

对于对等流量,传递优化将 7680 用于 TCP/IP,或将 3544 用于 NAT 遍历(也可以是 Teredo)。 对于客户端-服务通信,它通过端口 80/443 使用 HTTP 或 HTTPS。

代理要求

若要使用传递优化,必须允许“字节范围”请求。 有关详细信息,请参阅 Windows 更新的代理要求

防火墙要求

允许下列主机名通过防火墙,以支持传递优化。 对于客户端与传递优化云服务之间的通信:

  • *.do.dsp.mp.microsoft.com

对于传递优化元数据:

  • *.dl.delivery.mp.microsoft.com
  • *.emdl.ws.microsoft.com

Apple 设备网络信息

用途 主机名(IP 地址/子网) 协议 端口
检索并显示 Apple 服务器的内容 itunes.apple.com
*.itunes.apple.com
*.mzstatic.com
*.phobos.apple.com
*.phobos.itunes-apple.com.akadns.net
HTTP 80
与 APNS 服务器之间的通信 #-courier.push.apple.com
“#”是 0 到 50 范围内的一个随机数字。
TCP 5223 和 443
各种功能,包括访问万维网、iTunes 商店、macOS 应用商店、iCloud、消息等。 phobos.apple.com
ocsp.apple.com
ax.itunes.apple.com
ax.itunes.apple.com.edgesuite.net
HTTP/HTTPS 80 或 443

更多相关信息,请参阅 在本地网络上使用 Apple 产品Apple 软件产品使用的 TCP 和 UDP 端口有关 macOS、iOS/iPadOS 和 iTunes 的服务器主机连接和 iTunes 后台进程 以及 如果 macOS 和IOS/iPadOS 客户端不获取 Apple 推送通知

Android 端口信息

根据选择的 Android 设备管理方式,你可能需要打开 Google Android Enterprise 端口和/或 Android 推送通知。 有关支持的 Android 管理方法的更多信息,请参阅 Android 注册文档

备注

由于 Google 移动服务在中国不可用,因此在中国由 Intune 管理的设备无法使用需要 Google 移动服务的功能。 这些功能包括:Google Play保护功能,如 SafetyNet 设备证明、从Google Play 商店管理应用、Android Enterprise 功能(请参阅此 Google 文档)。 此外,Android 版 Intune 公司门户应用使用 Google 移动服务与 Microsoft Intune 服务进行通信。 由于 Google Play 服务在中国不可用,因此某些任务最长可能需要 8 小时才能完成。 有关详细信息,请参阅此文章

Android (AOSP)

用途 主机名(IP 地址/子网) 协议 端口
下载和安装Microsoft Intune和Microsoft Authenticator应用 intunecdnpeasd.azureedge.net HTTPS 443

Google Android Enterprise

Google 针对其 Android Enterprise 蓝皮书的“防火墙”部分中所述的所需网络端口和目标主机名提供了相关文档。

Android 推送通知

Intune 利用 Google Firebase Cloud Messaging (FCM) 推送通知来触发设备操作和签入。Android 设备管理员和 Android Enterprise 都需要这样做。 有关 FCM 网络要求的信息,请参阅 Google 的 FCM 端口和防火墙

终结点分析

有关终结点分析所需终结点的详细信息,请参阅终结点分析代理配置

Office 365 URL 和 IP 地址范围

Microsoft 365 网络连接概述

内容分发网络 (CDN)

Office 365 IP 地址和 URL Web 服务中未包含的其他终结点

管理 Office 365 终结点